在企业强化内控管理的大背景下,内控建设迅速推进,但不少企业的内控却很容易陷入3个误区:一是没有搞清楚内控存在的假设前提是什么,结果是为控而控;二是没有搞清楚内控的应用者是谁,结果是沉积于内控部门柜子中的精美资料;三是重形而疏质,结果是不能落地。
01.内控是管理中的职能而不是监管
在上篇小文中,我借助十字九步法,把内控归纳到了“十字”的纵向。纵向包括两个方面:一是资源,是横向的限制性条件;二是方法及风控类工作,是横向的保障与保证。但无论纵向怎么划分,横向才是真正的关切所在。
方法解决的是横向的效率问题;风控解决的是横向过程中出现的风险事项问题;内控解决的是方法中因能力、人性带来的影响品质、成本等内在运作质量问题;合规解决的是伦理道德与横向产出之间的和谐问题。当然,实际工作中,不可能这样割裂实施,而是彼此之间的应用与集成。
谈企业的管理,从来没有也不可能有能够用“单一专业”解决问题的方法,而是集相关要素的综合。所以,流程管理强调“流程即业务、业务即流程”,前提是设计的流程必须包括全要素,然后,这种观点才能成立。所以,德鲁克才说出“结果是衡量管理的唯一标准”。而结果是否达到预期的最根本前提是,管理在方向上是否“正确”。
风控、内控、合规管理,都涉及审计监督机构对体系有效性的评价,这些工作很多由内审部门归口管理。由于风控的超前性、内控的过程性、合规的基础性、审计监督的事后性,很多部门都在研究风控与监督的融合问题。更有甚者,由于内控以流程为载体,于是,把流程管理也归入内审机构。
其实不用研究,二者不能也不可能融合。道理很简单,监督不能渗入流程,否则就失去了“独立与客观性”,打通流程不等同于“融合”。至于监督部门承担流程管理的职能,可能会“因人”而异,但终非常态。所以,不出意外的话,内审部门承担流程管理职能的安排,应该是一个闻着香、听着美,但就是啃不动、拿不起的“大饼”。
何况,理解上的“事前、事中、事后”是原理认识,而不是具体流程中的行动反映。所以,内控管理中经常见到的“内控监督”、“内控监管”、“内控监督评价”,这些来自于“监督方”理解基础上的说法,并不准确。
认识不等于了解,了解不等于掌握,掌握不等于运作。内控,是企业组织管理、流程管理中基于“管理风险需要”而采取的原则、设置的活动。希望用内控解决管理问题,短期内会有“促进效果”,但从长远看,内控需要服从管理设计。原因是,管理与内控是“首末”关系,它既不是监管,也不是风险管理,更不是流程的输入,而是基于管理需要,为预防流程例行风险而设置的必要措施,放大点讲,是企业管理风险的条件之一。
02.内控的假设前提是规范的管理
企业建立内控体系,体现的是组织间的关系、解决问题的管理体制、保障体系运作的治理机制、内控本身的有效运作与执行。来自于企业内部第三方、或者外部第三方的内控评价,是保证体系有效运作的评价手段,但不是体系本身的构成。否则,又违背了监督的“客观、公正、独立”原则。这一点,从流程管理中的“流程审计、流程稽核”,可以得出同样的结论。
容易给人造成疑惑的一个问题是:内控建设是基于现实流程梳理,还是基于面向未来的流程设计?没有统一的答案,需要区别对待。一个管理基础规范、夯实的企业,内控建设是显性化、系统化的问题;对于一个管理基础薄弱的企业,内控建设的前提是“管理”问题,然后才是内控建设。至于那些拎着一套流程到处转化复制的做法,只不过是完成“有无”的简单搬运工而已。
这就带来一个问题,什么是管理?通常的答案是计划、组织、领导、协调、控制等等,还有更粗暴的,把管理简单归纳为“管理就是管人”,这些是“管理要素”,而不是答案。但也能反映出一个结论,内控是管理中的一项职能,或者说是管理要素。
我理解的管理,是运用一套方法,让组织或一群人有条理而系统地工作、运作。体现在三个方面:一是必须能够达成预期结果,否则意味着失败;二是能够被客体理解逻辑、掌握要求,在应用上能够转化为行动,否则就是“记录华丽答案的废纸”;三是能够传达给客体,责、权对等,可衡量、可评价,否则就不构成管理。
企业的内控管理,建立领导体制、管理机制,都不是什么大问题,核心在于内控的理解、应用与执行。这一条件,不是建立在“内控管理”本身水平的高低,而是建立在“内控应用载体”管理原则与逻辑的基础上。
如果在流程梳理上,本身就存在管理逻辑错乱、授权不清、流程模糊与实际不符的问题,内控的成立、运行效果自然无从谈起。比如:企业中担心“资产安全风险”,就把大、小与资产有关的事项全部由“一把手”审批一个道理。原因是,一项设计错误的产品,无论框架、本身的产出如何精美,其功能结果都可想而知。
03.内控的首要任务是让受控角色知道
一个企业完成内控体系建设的边界,不是以开展内控评价并完成整改作为始终点,而是让受控角色了解并掌握流程逻辑、内控存在的依据和控制标准为始的循环。谈内控有效性,必须建立在管理有效性基础上,而有效的管理有两个条件:一是知道给什么人“用”;二是只有被告知的人知道了,才有产生“符合预期结果”的可能。
参加过不少企业的内控评价,接受委托之初,我总在不厌其烦地问一个问题:是要完成例行评价?还是要发现并解决问题?答案从来都是第二个,但结果往往以第一种结果结束。
从开展内控评价的“依据来源”来看:
第一来源是企业建立的“内控手册”,目的是了解企业内控管理本身的管理思路及支持能力。但不低于90%的企业给出的是“流程汇编”及内控规范转化的说明,这不是“内控管理手册”。
第二来源是“流程与内控”,目的是掌握被评价域的管理原则、逻辑流程、内控重点。一是80%的企业,提供的流程汇编是一个极厚的合订本,在其它部门,有50%的企业不了解“本域”的流程与内控分册,说明内控管理没有履行“告知和管理义务”。二是约40%的企业,梳理了业务域的“流程树”简单示意图,但基本不是域系统的“管理逻辑集成图”,60%以上的企业是零散的流程片段,说明系统性不足,高阶内控自然遗漏;三是70%的企业在域的主流程中没有责权划分,所谓流程,就是“路线示意图”,原因是“以内控为主”。四是在具体流程中,50%以上的内控措施描述模糊粗放,不具有行动特征,说明落地性不足。以上问题,意味着“流程与内控”的产出,不足以支撑并作为内控评价的判别依据。
转第三来源 —— 管理制度。大型企业中,管理制度成熟度还是不错的,所以,不低于80%的企业,“内控评价”的主要依据仍然是制度,而不是“内控建设的产出”。意味着内控体系建设的中心内容,本身就存在一定的缺陷。
最低程度上,内控建设应该是在制度管理基础上的升华,是将制度控制直观化的手段,是提高制度执行力的补充措施。但结果是,完成的流程与内控,反而发生了“折扣”。其实,到这为止,企业的内控评价基本就可以宣告结束了。当然,内控也并非只能以“流程”反映,好的制度,同样能发挥内控作用。
任何管理方式和方法,其有效性首先建立在“告知”基础上,所以,才有了制度的公示、制度的解读与宣贯、制度相关内容被“执行方”的摘要等等。同样道理,企业内控也需要履行“告知义务”,包括流程告知、控制规范、控制标准告知等等。在具体形式上,可以通过流程分发与应用、表单分发与应用、内控标准前置等方式完成。核心在于:不知就不可能执行。
04.内控有效的基本条件是可落实于行动
企业中的管理,并不在于完成一套方案、发布一份制度、分发一套流程等本身,而在于“应用并转化为行动”。
很多时候,企业的内控管理过度集中在“内控”本身,而疏于内控存在的“管理基础”,应该统一认识,没有管理,就没有内控存在的土壤。
大型企业中,应用内控的管理基础是比较规范的,流程与内控的有效性在于:一是能不能展现系统的管理思维与逻辑,这是满足“中高层管理者”需要的具体体现。二是在具体流程梳理方面,能不能使“图表流程”优于文字描述的流程。三是具体内控方面,要传达4个信息:①内控有依据;②内控是在发挥预防“什么风险”的作用;③实施内控并作出结论的依据是什么;④控制的是“哪些内容”。这些内容是促成“受控者”主动满足内控要求的基本条件。
企业内控管理的“难”,在于这一职能是“归口管理”。企业中,再难的工作,只要是部门自己承担的,都不是真正的“难点”和挑战项,真正的难点在于:“你制定规则,让别人按规则做,以掌控结果”的工作。
归口管理工作往往有两种结果:一是“开始轰轰烈烈,高潮过后回归沉寂”,由企业环境、管理者的能力决定;二是理顺归口管理的“例行工作”,使归口管理成为“行动常态”,而不是“时态行动”,取决于归口管理部门对其它部门达成绩效“发挥的帮助作用”,这类部门受人尊重,由工作的质量、水平、主管人员能力和服务态度决定。
当你成为各部门在“发现问题,解决问题”中“寻求帮助、解决疑惑”的首选支援者时,当大家熟悉后主动参考并可以自主执行、自主完善时,意味着归口管理的成功,归口管理者则会转变为企业在这一领域的“权威专家”。权威专家,并非由权力地位、经验多寡决定,而是来自于持续的学习、思考、跨领域的知识结构和有效的成功实践。
来源:天锦咨询 作者:郑永强
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
